[发明专利]一种网络服务识别方法、装置、设备及介质

权利要求书

1.一种网络服务识别方法，其特征在于，包括：

监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包；

基于预设规则库对所述目标数据包进行匹配；所述预设规则库包括各网络服务对应的规则；所述规则包括相应网络服务对应的客户端发送数据格式、服务端发送数据格式；

若匹配成功，则输出相应的网络服务识别结果；

若匹配失败，则保存所述目标数据包；

基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，并将所述新的规则添加至所述预设规则库；

其中，所述方法还包括：监听TCP三次握手，确定所述TCP会话的服务端和客户端；和/或，基于UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。

2.根据权利要求1所述的网络服务识别方法，其特征在于，所述监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包，包括：

监听网络流量中TCP会话建立后服务端发送给客户端的应答包，或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包，得到目标数据包；

和/或，监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包，得到目标数据包。

3.根据权利要求2所述的网络服务识别方法，其特征在于，还包括：

若监听到会话建立后，所述服务端未发送应答包，则删除该会话对应的请求包，并停止对该会话的监听。

4.根据权利要求1所述的网络服务识别方法，其特征在于，所述基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，包括：

定时的，或者当保存的所述目标数据包达到预设数量时，对当前保存的全部目标数据包进行聚类，得到聚类结果；

基于所述聚类结果确定相应网络服务的规则以得到新的规则。

5.根据权利要求1所述的网络服务识别方法，其特征在于，若匹配成功，还包括：

基于预设数据处理策略对所述目标数据包进行删除或者保存。

6.根据权利要求1至5任一项所述的网络服务识别方法，其特征在于，还包括：

将所述预设规则库导出，以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。

7.一种网络服务识别装置，其特征在于，包括：

网络流量监听模块，用于监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包；

数据包匹配模块，用于基于预设规则库对所述目标数据包进行匹配；所述预设规则库包括各网络服务对应的规则；所述规则包括相应网络服务对应的客户端发送数据格式、服务端发送数据格式；

识别结果输出模块，用于若所述数据包匹配模块匹配成功，则输出相应的网络服务识别结果；

数据保存模块，用于若所述数据包匹配模块匹配失败，则保存所述目标数据包；

规则更新模块，用于基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，并将所述新的规则添加至所述预设规则库；

所述网络流量监听模块，还用于监听TCP三次握手，确定所述TCP会话的服务端和客户端；和/或，基于UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。

8.一种电子设备，其特征在于，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至6任一项所述的网络服务识别方法。

9.一种计算机可读存储介质，其特征在于，用于保存计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的网络服务识别方法。